محققان از vpnMentor
این نشت با این واقعیت تشدید می شود که بیشتر پایگاه داده رمزگذاری نشده است و علاوه بر داده های شخصی (نام، تلفن، ایمیل، آدرس خانه، موقعیت، زمان استخدام و غیره)، گزارش های دسترسی کاربر سیستم، رمزهای عبور باز ( بدون هش) و دادههای دستگاه تلفن همراه، شامل عکسهای چهره و تصاویر اثر انگشت مورد استفاده برای شناسایی بیومتریک کاربر.
در مجموع، پایگاه داده بیش از یک میلیون اسکن اثر انگشت اصلی مرتبط با افراد خاص را شناسایی کرده است. وجود تصاویر باز از اثر انگشت که قابل تغییر نیستند، این امکان را برای مهاجمان فراهم میکند که با استفاده از یک الگو، اثر انگشت جعل کنند و از آن برای دور زدن سیستمهای کنترل دسترسی یا به جا گذاشتن آثار نادرست استفاده کنند. توجه ویژه ای به کیفیت رمزهای عبور می شود که در میان آنها رمزهای بی اهمیت زیادی مانند "Password" و "abcd1234" وجود دارد.
علاوه بر این، از آنجایی که پایگاه داده شامل اعتبار مدیران BioStar 2 نیز می شود، در صورت حمله، مهاجمان می توانند به رابط وب سیستم دسترسی کامل داشته باشند و از آن برای افزودن، ویرایش و حذف سوابق استفاده کنند. به عنوان مثال، آنها می توانند داده های اثر انگشت را جایگزین کنند تا دسترسی فیزیکی داشته باشند، حقوق دسترسی را تغییر دهند و آثار نفوذ را از سیاهه ها حذف کنند.
شایان ذکر است که این مشکل در 5 آگوست شناسایی شد، اما پس از آن چندین روز صرف انتقال اطلاعات به سازندگان BioStar 2 شد که نمیخواستند به سخنان محققان گوش دهند. در نهایت در 7 آگوست اطلاعات به شرکت اطلاع رسانی شد اما مشکل تنها در 13 آگوست برطرف شد. محققان پایگاه داده را به عنوان بخشی از پروژه ای برای اسکن شبکه ها و تجزیه و تحلیل سرویس های وب موجود شناسایی کردند. مشخص نیست که پایگاه داده چه مدت در مالکیت عمومی باقی مانده است و آیا مهاجمان از وجود آن اطلاع داشتند یا خیر.
منبع: opennet.ru